Bild von Dominik Liss - WordPress Dev
Die Dominik Liss Show WordPress & Business Talks

#007: WordPress Seiten Hacken | m. Bart Stankiewicz

Episode anhören

Überblick

In dieser Episode reden wir mit Bart Stankiewicz von invidual. Bart ist selbständiger Web Developer mit einem speziellen Fokus auf WordPress Security. 

Gast: Bart Stankiewicz
https://www.linkedin.com/in/bartosz-stankiewicz-9576a58/
hello@invidual.com
https://www.invidual.com/

In dem Gespräch unterhalten wir uns über folgende Themen:
* Ist WordPress ein sicheres System?
*  Wie oft wird WordPress gehackt?
*  Wieso werden WordPress Seiten gehackt?
*  Wie erkenne ich einen WordPress Hack?
*  Ist meine WordPress Seite sicher?
*  Was sind automatisierte Bot Angriffe?
*  Bekanntester WordPress Hack
*  Wie kann man eine WordPress Seite schützen?
*  Nachteile von guter Security
*  Meine Webseite wurde gehackt! Was jetzt?
uwm ...

Host & Gäste

Profilbild von Dominik Liss Host
Dominik Liss WordPress Dev
Profilbild von Bartosz Stankiewicz Gast
Bartosz Stankiewicz Web Developer mit einem speziellen Fokus auf WordPress Security

Video

Weitere Episoden

Vorige Episode

Cover Image
#006: Gutes und schlechtes Design unterscheiden | m. Oliver Schöndorfer

In dieser Episode reden wir mit Oliver Schöndorfer. Oliver ist selbständiger UI Designer mit einem speziellen Fokus auf Typografie.

Nächste Episode

Cover Image
#008: Captcha & DSGVO … was solltest du wissen? | m. Helmut Januschka

In dieser Episode reden wir mit Helmut Januschka von captcha.eu. Helmut ist Leiter der Entwicklung bei krone.at und er hat gemeinsam mit dem krone.at Dev Team ein DSGVO konforme Captcha Lösung entwickelt und auf den Markt gebracht. 

Transkript

Die Internetkriminalität hat sich verfünffacht und du hörst einfach laufend, dass irgendwelche bekannte Firma gehackt wurde.

Spielen wir mal diesen Szenario durch.

Meine Webseite wurde gehackt.

Es ist relativ einfach, eine WordPress-Seite, die ungesichert ist, zu hacken.

Was sind die Symptome, wenn eine Webseite gehackt wird? Manchmal kann man es wirklich nicht unterscheiden, ob ich einen Update mache und die Seite geht nicht und sie wurde gehackt.

Wie kann man sich in dem Fall schützen, wenn man eine WordPress-Seite hat? Zuallererst muss man einfach eines wissen.

Vom Gefühl her passieren halt immer so Trade -Offs.

Etwas ist sicherer, dafür ist die Webseite oder das Backend langsamer.

Jede WordPress-Webseite, wenn man das 1x1 der Sicherheit nicht durchspielt, ist einfach angreifbar durch einen automatisierten Weg.

Boah, das sind jetzt viele Themen, gell? In der Episode besucht uns Bart Stankiewicz von InVisual.

Er ist Webdeveloper mit einem speziellen Fokus auf Security bei WordPress-Seiten.

In seiner Vergangenheit hat er ebenfalls die Erfahrung, Lektor zu sein auf der FH Technik von Wien.

Bevor ich dir jetzt noch mehr erzähle, übergebe ich das Wort an den Bart.

Hallo Bart, danke, dass du heute da bist.

Könntest du dich bitte so in zwei Sätzen vorstellen? Beziehungsweise wäre es cool, wenn du auch die Frage beantwortest, in welcher Form du deinen Kunden hilfst, beziehungsweise welches Problem du für deinen Kunden löst.

Hallo Dominik, vielen Dank, dass ich hier sein darf und mit dir quatschen darf.

Das freut mich sehr über mein Lieblingsthema zu quatschen, also WordPress Security oder IT Security.

Zu mir ein bisschen, du hast eh schon viel erzählt, ich habe sehr viele Jahre mit Entwicklung von Webseiten beruflich verbracht, davon circa die Hälfte, also von 20 Jahren die Hälfte dann selbstständig.

Ich habe auf dem FH Technikum Wien unterrichtet, vier Jahre lang und dann eben in der Selbstständigkeit für Kunden Webseiten entwickelt und mich immer mehr mit dem Thema IT Security und WordPress Security beschäftigt, weil hauptsächlich die Webseiten, mit denen ich mich beschäftigt habe beruflich, sich entwickelt habe, waren auf Basis von WordPress die letzten Jahre.

Und zu deiner Frage wegen den Kunden, ja, also ich definitiv Entwicklung von individuellen Komponenten für WordPress, aber auch Sachen, die an der Oberfläche, viel an der Oberfläche am Frontend zu tun haben, das heißt, wo auch JavaScript angewandt wird und auch Styling mit SCSS, CSS stattfindet, also da ist die Bandbreite ganz groß, also der Fokus und die Intention meiner Arbeit, der liegt bei IT Security und damit beschäftige ich mich sehr gerne.

Ich glaube, wenn du dich mit einem so fachspezifischen Thema wie IT Security beschäftigst, musst du dich auch mit der Entwicklung von Webseiten tief beschäftigen können, also du musst halt auch mit PHP gut, also Programmiersprachen kennen, JavaScript, PHP, MySQL als Datenabfragesprache kennen, damit du dich einfach mit IT Security beschäftigen kannst überhaupt.

Beginnen wir vielleicht mit der Frage, die eigentlich sehr oft in WordPress vorkommt, weil WordPress ein bisschen schon so einen Ruf hat, ein unsicheres System zu sein.

Stimmt das? Kannst du dem zustimmen, dass WordPress ein unsicheres System ist oder ist es ein Ruf, der sich fälschlicherweise eingebürgert hat? Es ist, ich glaube, die Frage ist sehr beliebt, die bekomme ich oft gestellt, zuletzt auch beim Meetup, WordPress Meetup, wo ich zu dem Thema präsentiert habe und ich kann das klar mit, ja, es ist absolut sicher, wenn man sich um das System kümmert.

WordPress wird von Konzernen verwendet, WordPress ist sehr, sehr beliebt, das spricht einfach dafür, wenn es einfach so unsicher wäre und so schlecht, dann würden nicht 60 Prozent aller CMS WordPress CMS sein und es würden nicht ein Drittel aller Webseiten mit WordPress betrieben werden.

Ich finde, WordPress ist ein fantastisches System.

Es bietet sehr vielen Personen leicht Zugang dazu, dass man, wenn man zum Beispiel Grafiker, Webdesigner ist und keine Ahnung von HTML, CSS, PHP, JavaScript und so weiter hat, dann hat man trotzdem die Möglichkeit, eine Webseite umzusetzen, was halt toll ist, aber gleichzeitig, wenn man sich zu wenig mit dem Hintergrund beschäftigt, wenn man sich zu wenig mit PHP auskennt, dann führt das halt zu Komplikationen im Nachhinein, also das macht vielleicht, vielleicht macht das auch dann diesen Ruf, also durch diese Beliebtheit passiert es vielleicht auch gleichzeitig, dass WordPress auch sozusagen als unsicher abgestempelt wird.

Ja, weil an und für sich mag ich jetzt WordPress nicht schlecht reden, weil ich verdiene mein Geld mit WordPress, im WordPress-Development und all dieser Sachen, also ohne WordPress müsste ich mir einen anderen Job suchen, deswegen bin ich ein großer Fan von WordPress, aber ich mag das jetzt ein bisschen so von der Seite sehen, jetzt, keine Ahnung, WordPress nicht so hoch zu preisen oder zu sagen, hey, WordPress ist super toll, WordPress kann alles, sondern wirklich, damit wir vielleicht gleich ins Thema eintauchen, was sind die negativen oder die risikoreichen Seiten von WordPress und was bedeutet das eigentlich, wenn eine Webseite gehackt wird, weil bedeutet das dann, okay, ich kann das ganze Unternehmen jetzt, wenn das Unternehmen nur bei einer Webseite aufbaut, jetzt schmeißen oder ist mein ganzer E-Commerce-Story jetzt weg, wenn er gehackt ist oder vielleicht manchmal wie bei einem gehackten Computer, manchmal kann man das ja, kann man sich einfach nur einen neuen Computer kaufen oder eine neue Festplatte, weil es schon so kaputt ist.

Ist das das Gleiche auch bei WordPress, wenn es einmal gehackt ist, dann kannst du dir die Webseite eigentlich neu bauen oder das Unternehmen vom Kunde wieder aufbauen oder was bedeutet das überhaupt, wenn eine Webseite gehackt wird? Boah, da sind jetzt viele Themen, gell, Dominik? Ja, es sind viele Themen, aber beginnen wir vielleicht einmal mit der Frage, weißt du vielleicht, wie viele Webseiten, WordPress-Webseiten prozentuell im Jahr gehackt werden oder kannst du uns irgendwelche Zahlen geben, damit wir ein Bild haben, hey, es ist doch ein großes Problem oder hey, es ist so, ja, es ist zwar ein Problem, aber ja, es kommt nicht oft vor.

Es ist ein gewaltiges Problem.

Ich habe jetzt ein Sucuri-Report von 2019 jetzt durchgeschaut und da habe ich gesehen, dass unter den CMS, die beliebt sind oder die aktuell sind, ist also WordPress ganz weit oben bei den Angriffen und zwar bei 90 Prozent, über 90 Prozent.

Das heißt, WordPress ist unfassbar beliebt, was halt Hackerangriffe anbelangt, also es ist, also ja, also das ist, man muss schon sagen, man darf das, WordPress ist super, aber gleichzeitig ein wahnsinnig beliebtes Angriffsziel.

Und bedeutet das, also aus welchem Grund ist es ein beliebtes Angriffsziel? Aus dem Grund, weil es leicht zu hacken ist und das wenig Aufwand ist, da in einer Seite einzubrechen oder weil es, keine Ahnung, eines der beliebtesten CMS ist, also Contact-Management-Systemen und es einfach oft verwendet wird.

Ja, es ist einerseits schon relativ einfach, also ich spreche aus Erfahrung, es ist relativ einfach eine WordPress-Seite, die ungesichert ist, zu hacken.

Es ist nicht sehr kompliziert, wenn man, wenn, wenn oder sehr aufwendig ist.

Man kann es relativ zügig machen, kommt natürlich auf die WordPress-Version an, es kommt auf die, auf die Plugins an, es kommt auf das Webhosting an.

Ich will es jetzt nicht verallgemeinern, dass, aber wenn man sagt, okay, ich kann das jetzt nicht prozentuell belegen, wie viel Prozent jetzt von allen WordPress -Webseiten gut oder schlecht gewartet sind, aber sagen wir, mein Gefühl sagt mir, wahrscheinlich so an die 60, 70, vielleicht sogar mehr Prozent aller WordPress-Webseiten werden nicht regelmäßig gewartet, wie sie eigentlich gewartet werden sollten.

Das heißt, Updates werden nicht eingespielt, Logs werden nicht durchgeschaut, also diese Themen oder es wurde der falsche Web-Poster oder die Einrichtung des Web-Posters passt nicht oder es, von Anfang an gab es schon, nach der Installation schon Backdoors, die installiert waren und keiner hat das gemerkt.

Also das, es ist, es ist schon sehr beliebt und ja, man, man muss halt einfach sich drum kümmern, das ist der Grund.

Also man, ich, ich glaube einfach, du hast ein tolles System und es ist leicht zu hacken, wenn du halt dich nicht drum kümmerst und das fünf Jahre lang liegen lässt und es ist nichts passiert und es wird die nächsten fünf Jahre auch nichts passieren.

Das ist halt jetzt eher ein sehr optimistisches Denken.

Genau, sehr optimistisch, ja.

Um auf die, um auf die letzte Frage zurückzukommen, die ich dir gestellt habe, also wie, was sind die Symptome, wenn eine Webseite gehackt wird oder was bedeutet das, hey, meine Webseite wurde gehackt, ist das, hey, ein Plugin nach dem Update hat eine Webseite zerschossen und deswegen funktioniert die Webseite nicht mehr oder passiert das einfach random, hey, plötzlich funktioniert die Webseite nicht mehr, ist das der Grund oder ein Symptom dafür, dass die Webseite gehackt wird oder heißt das, okay, ich kann mich nicht mehr einloggen, ist das ein Symptom für eine gehackte Webseite oder dass vielleicht ein Plugin nicht mehr kompatibel ist mit WordPress, also wie erkenne ich da am besten oder was bedeutet das, der Begriff, meine Webseite wurde gehackt.

Ja, manchmal kann man es wirklich nicht unterscheiden, ob ich einen Update mache und die Seite geht nicht und, oh, sie wurde gehackt, aber na klar, wenn du dich selber darum kümmerst, in dem Moment, wo du es updatest, dann weißt du eh, dass es kein Hack war, höchstwahrscheinlich, sondern dass es ein Update war, welches Probleme verursacht hat, aber es gibt schon gute Anzeichen, wieso jetzt eine, oder wann man erkennt, dass eine WordPress -Webseite gehackt wurde.

Es ist so, es gibt schon so von Jahr zu Jahr Tendenzen, ja, wenn du eine E-Mail bekommst, wo drinnen steht, dass deine Webseite verschlüsselt wurde, deine Datenbank verschlüsselt wurde und du Geld einzahlen musst, dann weißt du direkt Bescheid, okay, und du erreichst die Webseite auch nicht, weil es kann natürlich eine E-Mail sein, die dir das vorlügt oder was auch immer, aber darüber sprechen wir nicht.

Sagen wir, es wurde echt gehackt, ja, und okay, ich muss unterscheiden, es gibt halt einerseits diese automatisierten Angriffe, wo Webseiten automatisiert gehackt werden und die Motivation dahinter ist, nicht jetzt Schaden anzurichten, sondern da geht es einfach darum, Geld zu machen, also das heißt, löse Geldforderungen und die Datenbank wurde kopiert und dann gelöscht und du bekommst sie nur gegen Geld wieder.

Also, da ist schon die Motivation bei automatisierten Angriffen oder es wurde, es ist ein Individuum, ein Hacker, Hackerin, die dann dich persönlich oder dein Unternehmen persönlich angreift und Interesse hat, weil die Person weiß, okay, da ist viel Potenzial und da zahlt sich dieser Hackerangriff aus.

Also, diese zwei, unterscheiden wir mal diese zwei Typen, weil man kann, aber die Resultate sind jetzt, sagen wir, ähnlich.

Jemand, also, wenn es ein Hacker ist, dann würde ich sagen, dann will die Person viele Daten klauen, weil sie weiß, dass da irgendwelche Daten sind und dann bekommst du das eher eigentlich nicht mit.

Wenn die Daten gestohlen werden, weiterverkauft werden, dann ist die Motivation des Hackers, eigentlich unbemerkt zu bleiben und dann hat es keine Auswirkungen, außer, dass dann in ein paar Jahren oder irgendwann mal die Daten dann öffentlich werden und öffentlich angeboten werden und dann kommt das heraus.

Viele Unternehmen wollen auch natürlich nicht, dass es publik wird.

Dann ist es wirtschaftlicher Lösegeld.

Aber sprechen wir jetzt mal so für den 0815 -Fall, wie erkennst du das? Du erkennst es einfach, wenn du ein White Screen of Death siehst, also eine weiße Seite statt deiner Webseite, wenn du deine URL aufrufst oder kreative Nachrichten eben über E-Mail oder auf der Website, dass die Daten jetzt gestohlen wurden und so weiter.

Also, da gibt es schon gewisse Hinweise.

Früher war es üblich, dass zum Beispiel Spam auf den Webseiten so Redirections, Spam, Verlinkungen zu diversen Seiten oder Werbung wurde angezeigt.

Das ist eigentlich eher weniger geworden.

Also, es geht direkt darum, einfach wirklich hier Geld zu machen, wirtschaftlich zu sein mit dieser Möglichkeit.

Also, eher keinen Schaden sofort anzurichten, sondern einfach hier schon mehr auszuholen.

Ich habe mir über das Thema eigentlich schon ein paar mal Gedanken gemacht.

Ich habe das jetzt nicht recherchiert oder kann das mit keiner Studie belegen.

Ich glaube auch kaum, dass es dafür eine Studie gibt oder dass man das irgendwie sachlich oder fachlich hinterlegen kann.

Aber mein Gefühl war immer, wenn irgendwer schon eine Person, also als Hacker, eine Person, die sich als Ziel vornimmt und eine Webseite hacken will, dann hast du eigentlich keine Chance.

Also, wenn etwas im Internet ist und wenn der Hacker gut ist, dann kommt er einfach rein.

Also, die Person kannst du dann auch nicht aufhalten.

Was so vom Bauchgefühl her bei Webseiten ist, ist einfach, dass die sehr große Mehrheit von Hacks von Bots verursacht wird.

Also, jetzt nicht von einem Konkurrenten, der sagt, hey, ich mag jetzt meine Daten stehlen und dafür bezahle ich einen Hacker, damit er bei dir ins System einbricht und mir die Daten besorgt.

Sondern meistens sind das einfach automatisierte Bots, die random an jeder Seite versuchen, sich einzuloggen oder versuchen, bekannte Plug -in-Lücken auszunutzen und so kommen die dann ins System rein und verursachen Schaden oder kopieren, wie du gesagt hast, die Daten automatisch und hinterlassen dann die Nachricht, hey, zahl mir auf dieser Adresse Bitcoin ein, damit du die Daten wieder bekommst und solche Sachen.

Stimmt dieses Gefühl, dass, wenn eine Person, ein guter Hacker, deine Webseite hacken will, dass du dann sowieso keine Chance hast? Du hast so viele geniale Tools, die du teilweise auch kostenlos verwenden kannst als Hacker.

Also, es gibt zwei Möglichkeiten, wenn dich ein Hacker auf den Kicker hat, weil du vielleicht der Gatekeeper für deinem Unternehmen bist, welcher Zugang hat zu bestimmten wichtigen Daten und du wirst auskundschaftet als vom Hacker, dass du jetzt diese Person bist oder du hast ein Unternehmen, welches lukrativ ist oder lukrative Daten hat, dann ist es sehr schwierig, sich davor zu schützen wirklich.

es ist nämlich so, zum Beispiel, wenn dein Smartphone kann einfach auch gehackt werden und da muss dir nicht mal jemand eine SMS schicken, auf die du irgendwo auf den Link klickst, dass du dann abgehört werden kannst, dass deine Daten vom Smartphone mitgeloggt werden.

Die Technologie ist schon so weit, aber natürlich kostet es auch sehr viel und du musst ein lohnendes Ziel sein.

Also, wir sprechen wirklich jetzt von zum Beispiel Journalisten oder Staatschefs und so weiter.

Aber du hast einfach als Hacker einerseits technisch sehr viele Möglichkeiten.

Es gibt sehr viele gute Penetration-Test-Tools, wo du herausfinden kannst, welche Schwachstellen ein System hat, um einbringen zu können.

Und auf der anderen Seite, was halt teilweise fast noch erfolgreicher ist, ist Human Hacking.

Hat jetzt wenig mit Technologie zu tun.

Es hat einfach mit dem Vorgeben, eine bestimmte Person zu sein, mit der Möglichkeit, jemanden persönlich zu umgarnen und dann an sensible Daten heranzukommen oder sich in einem Unternehmen umschauen zu können, indem man unter Vorwand einfach hineinkommt.

Ich sage das immer zum Spaß bei den Kunden, die mir dann Zugangsdaten zum WordPress-Packen schicken.

hey, ich habe dich jetzt gehackt, so als Social Hacking, so zum Spaß einfach.

Das kommt dann manchmal nicht so gut an.

Ja, es ist ein Thema, davon wissen sehr viele.

Also, viele Menschen sind schon mittlerweile sensibilisiert, weil es gibt ziemlich bekannte Fälle, Buchbinder, also Autovermietung, dann gibt es Salzburg -Milch.

Einer der bekanntesten Fälle, über den ich gerne quatsche, sind Panama Papers, also Mossack von Säcker, diese Rechtsanwaltskanzlei.

Also, es gibt sehr, sehr bekannte Fälle und die Menschen sensibilisieren natürlich.

Und die wissen das, die haben das schon im Hinterkopf und die haben schon die Angst und berechtigt die Angst, weil ich war nämlich, letzte Woche war ich bei einem Event, wo es um Cyber Security ging und da gab es ziemlich interessante Statistiken von der Wirtschaftskammer, wo viele Unternehmen, also jedes dritte Unternehmen erkennt gar nicht, dass es gehackt wurde.

Mehr als ein Fünftel überschätzen ihre eigene IT-Sicherheit, jeder Vierte hat kein passendes Konzept für die IT-Security und drei von zehn sind nicht in der Lage, IT -Sicherheitsvorfälle zuverlässig zu erkennen und 90% von 200 infizierten Webseiten haben, nachdem diese Infizierung gelöst wurde, nachdem das Page eingespielt wurde, gibt es immer noch ein Backdoor danach.

Also, bei den allermeisten Fällen von Infizierungen gibt es immer noch irgendwo versteckte Hintertüren und die Internetkriminalität hat sich verfünffacht und du hörst einfach im Laufen, ich habe das Gefühl, jede Woche gibt es irgendwo in den Medien das Thema, dass irgendwelche bekannte Firmen gehackt wurden oder Regierungen gehackt wurden und das sind nur die Fälle, die bekannt werden und wie viele es gibt, die nicht bekannt sind.

Ich habe es nicht als Ziel mit der Episode, oder wir haben es nicht als Ziel mit dieser Episode Angst einjagen oder zu sagen, hey, das ist das Schlimmste, was passieren kann, du musst dich auf jeden Fall vorbereiten und so weiter, sondern eher die Leute, ich meine, solange du nicht davon betroffen wirst, solange deine Webseite nicht gehackt wurde oder die Webseite deines Nachbarn oder wen auch immer, dann solange du mit dem Thema nicht konfrontiert wirst, dann machst du dir auch darüber nicht so viele Gedanken und meistens ist es dann, wenn es zu spät ist, dann lernst du aus der Erfahrung und nimmst das auch ins neue Projekt mit, dann, hey, auf das muss man auch achten und dann kommt das erst in die Gänge.

Was aber beruhigend ist, zumindest in meinen Augen beruhigend ist, dass wenn irgendeine Person als Hacker dich ins Visier nimmt und dir, keine Ahnung, Daten stehen will und so weiter, dann musst du erstens ein ziemlich großes Unternehmen sein oder eine ziemlich große Person im öffentlichen Auge, damit sich das auszahlt, weil solche Hack-Services sind wahrscheinlich auch nicht günstig.

Das heißt, in den meisten Fällen, wenn eine durchschnittliche WordPress-Seite gehackt wird, passiert das einfach von Bots.

Also Bots hacken die Seite automatisiert.

Weißt du da ungefähr den Prozentsatz, wie viele Hacks von Bots passieren, also einfach durch Zufall, weil es gerade funktioniert hat, nicht, dass es eine individuelle Person war, die dich anvisiert hat? Ja, also wirklich, da kann ich nur nach Gefühl gehen.

Ich habe leider keine Zahlen gefunden, vielleicht hast du was gefunden, aber ich habe leider nichts, was so automatisierte Fälle.

Ich rechne aber ganz stark damit, also das wahrscheinlich von all diesen Fällen und von diesen Angriffen, die aller, aller, allermeisten automatisiert sind.

Also einfach, weil es so eine schier unglaubliche Anzahl von Vorfällen sind, also ich würde sagen, jede Webseite ist irgendwie betroffen oder jede Webseite, jede WordPress -Webseite, wenn sie nicht aktualisiert wird, wenn man kein Sicherheitsplugin einspielt, wenn man das 1x1 der Sicherheit nicht durchspielt, ist einfach angreifbar durch einen automatisierten Weg.

Ich gebe dir zum Beispiel ein gutes Beispiel.

Ich habe eine Domain bekommen von einem Kunden, die sehr lange schon irgendwo herum gelegen ist, die schon angemeldet war, wo lange sich nichts getan hat.

Ein paar Jahre auf dieser Domain, also da war keine Webseite oben und beim Installieren der WordPress-Webseite wurde mir sozusagen vorgegaukelt, die Installation.

Ich habe das erkannt, aber ich habe dann auch gesehen, dass ein zusätzlicher Admin-User angelegt wurde in diesem Installationsprozess.

Aber das war gleich beim Installieren? Ja, genau, das war gleich beim Installieren und mein Fehler war natürlich der, ich habe angenommen, okay, Domain, es ist jetzt keine, da war keine WordPress -Webseite, da war nichts, eine leere Domain und ich habe angenommen, okay, warum soll ein Bot das anwerfen, warum interessiert das ein Bot jetzt auf einmal, wieso checkt der Bot auf einmal, dass ich da was mache.

Und da habe ich schon gesehen, okay, das Thema ist schon so heiß, also du darfst nichts öffentlich ohne Passwortschutz installieren.

Es ist einfach so, du bist von dem ersten Moment an angreifbar über automatisierte Skripte, vor allem, wenn die Domain schon irgendwo in irgendwelchen Bot-Verzeichnissen drinnen ist und die dann sehr schnell reagieren einfach, wenn, die sind schon scharf gestellt und ab dem Moment, wo du da anfängst, Dateien damit zu arbeiten, es kann natürlich auch sein, dass das mit dem Hoster in dem Fall zusammengehängt ist, dass der Hoster schon infiziert war und der, und der das mit dem Hoster einfach etwas zu tun hat.

Das kann auch sein, also ich will das jetzt nicht zu breit reden, aber es gibt schon, was ich sagen möchte einfach, es ist diese, jede Webseite kann einfach Opfer werden von so etwas, von diesen automatisierten Angriffen.

Und weil wir jetzt das Wort oft verwendet haben, automatisierte Angriffe, also bevor wir jetzt zu den Maßnahmen kommen, welche man ergreifen kann, um die eigene Webseite zu schützen, würde ich gerne ein bisschen das genauer definieren, was es bedeutet, das Wort automatisierte Angriffe mithilfe von Bots, weil das wird immer so als Begriff verwendet, aber falls jemandem noch der Begriff Bot oder automatisiertes Hacken mithilfe von Bots noch nicht so ganz klar ist, was das bedeutet, wie kann man das am besten erklären? Das ist einfach ein Script, es muss nichts besonderes sein, es ist einfach eine Funktion, eine PHP-Funktion, die einfach eine Liste von Domains hat, eine Liste von Webseiten hat und die, das macht ja auch ein Crawler, die geht einfach von Webseite zu Webseite und checkt einfach nach bestimmten Mechanismen, zum Beispiel schaut sie sich an, ob ihm es so ausgeht, schaut sich einfach dieser Mechanismus, dieses Snippet oder dieser Algorithmus, den du programmierst, der Bot, der schaut einfach diese Liste von Webseiten durch und schaut sich dann einfach den Source -Code von dieser Webseite an und dann sieht man einfach schon, dass in den Metadaten einfach drinnen steht, Generator, WordPress und dann auch die Version vielleicht oder es gibt ganz viele Möglichkeiten herauszufinden, ob es sich zum Beispiel um eine WordPress-Webseite handelt und dieser Bot, also dieser Algorithmus, den du geschrieben hast, kann einfach, läuft Tag und Nacht durch und geht einfach jeden Tag, so macht ein paar tausend Webseiten, geht durch und liest einfach den Source-Code, schaut sich diese an, was alles möglich ist und dieser Bot, also bestimmte Funktionen, wie du schon sagtest, es ist möglich, dass einfach bestimmte, wenn dieser Bot erkennt, dass zum Beispiel du ein Plugin mit einer bestimmten Version installiert hast und gerade aktuell ist diese Version, da wurde eine Sicherheitslücke entdeckt und auch gleichzeitig sehr gut beschrieben, wie man diese Sicherheitslücke ausnutzt.

Da gibt es eine Plattform, die heißt ExploitDB zum Beispiel und da kann man sehr gut nach Sicherheitslücken zu diversen Plugins mit bestimmten Versionen suchen und dieser Bot schaut sich einfach dann diese, deine Webseite an, schaut sich an, aha, es gibt das und jenes Plugin und zufällig ist es auch sogar die Version deines Plugins mit dieser Sicherheitslücke, dann führt es eine gewisse Prozedur durch, die dann einfach, so wie in dieser ExploitDB auf dieser Webseite beschrieben, kann es dann, führt es die zwei, drei Schritte durch und kann zum Beispiel ein Backdoor hochladen, eine Webshell hochladen und markiert es für einen weiteren Prozess.

Vielleicht ist es so, dass dieser Bot einfach nur bestimmte Sachen testet und wenn die, wenn es dann und filtert, er filtert eine Liste und diese Liste übergibt nach erfolgreichen zehn, zehn Webseiten übergibt er diese Liste dann an einen Hacker, an einen Menschen und dieser Mensch kann dann schon mehr damit anfangen oder an einen anderen Prozess von einem Bot.

ich würde sagen, dass das Coole an diesem Thema IT-Security ist, dass es ein sehr kreatives Thema ist, ein sehr umfangreiches Thema, also du hast, du hast so viele Angriffsvektoren, so viele Möglichkeiten, ja, es ist sehr kreativ, es stehen dir so viele Möglichkeiten auf.

Also, es ist ein bisschen so, okay, es gibt bestimmte Regeln, die man befolgen sollte und Bots und Hacker schauen sich dann an, hey, wie kann ich diese Regeln umgehen, damit ich meine eigenen Ziele erreichen kann auf Kosten von anderen.

Genau, es hat, es hat einen Algorithmus, der von einem Menschen geschrieben wurde und, und es, es gibt schon so, sagen wir, so 0815 Bots, ja, so Algorithmen, wo du halt so ganz einfache Themen schnell abchecken kannst, zack, zack, zack, dieses, da kannst du in dieses Verzeichnis hinein, schon haben wir das Backup runtergeladen und so weiter und dann gibt es kompliziertere Themen, Also, es kommt, es kommt auch darauf an, wie, was du erreichen willst, ja, willst du, was, was du, willst du die Datenbank nur haben, willst du verschlüsseln, willst du, willst du mehr Daten herausfinden, das kommt einfach darauf an, ja.

Und bevor wir jetzt in diese Liste gehen, hey, wie kann ich mich vor Bots und Hackern schützen, ich glaube, das wird das Hilfreichste sein für Leute, die gerade zuschauen und zuhören, dass man auch weiß, wie man sich dagegen schützen kann und dass es keine Rocket Science ist, dass man da jetzt nicht unbedingt programmieren muss oder, oder irgendeinen Kurs abschließen muss, sondern mit ein paar Handgriffen kann man dann, glaube ich, schon die meisten Bot -Angriffe einfach eliminieren, gegen zukünftige kreative Angriffe und Möglichkeiten, wo es noch keine Lösungen gibt, das lassen wir jetzt noch offen, aber zumindest die, die schon bekannt sind, dagegen kann man sich ziemlich gut schützen.

Bevor wir zu dem Thema kommen und zu dieser Checkliste, wo man auch die eigene Webseite checken kann, hey, habe ich das bei mir gemacht oder nicht, du hast vorher was von den Panama Papers erzählt, ist das etwas allgemeine, ist das allgemein eine Geschichte von einem Hackangriff oder hat das auch etwas mit Wordpress zu tun? Also Panama Papers ist, dieses Beispiel ist einfach gewaltig gut, also es ist einfach, wenn man sich das genau anschaut und durchliest, es ist mega, also es ist, das Resultat ist fantastisch, der Weg dahin war fantastisch.

Also die Panama Papers, es geht um eine Rechtsanwaltskanzlei in Panama, Mossack von Secker, das sind so zwei Rechtsanwälte, die eine Rechtsanwaltskanzlei hatten und die haben kreative Steuervermeidungsmechanismen ihren Kunden nahegelegt oder davon berichtet oder sie dabei unterstützt.

Und es ist ja immer so, du brauchst ja Beweise natürlich dafür, du brauchst ja diese Dokumente, den E-Mail-Verkehr, damit du sowas beweisen kannst.

Und ich meine in dem Fall, wieso ich darüber erzähle, es hat einfach was mit Wordpress zu tun, das ist auch das Coole gleichzeitig und zwar es hat, und in dem Fall war es wirklich ein persönlicher Angriff.

Also natürlich weiß man, man kann jetzt nur mutmaßen, ja, Wordpress hat einen sehr guten, sehr detaillierten Blogbeitrag dazu geschrieben mit einem Video, wo alles nachgestellt wurde, die haben es geschafft, ein paar Tage nachdem das veröffentlicht wurde, die Panama Papers, haben sie es geschafft noch viele Hinweise zu finden, wie dieser Hack von starten gegangen ist, aber man kann nicht sagen, dass es so war, ja.

Also bei diesem Hack ging es einfach darum, dass das Plugin Revolution Slider, das ist einfach so ein Slider für die Webseite von dieser Rechtsanwaltskanzlei, die hatte diese Wordpress-Webseite und was man denkt oder was Wordfence in diesem Blogbeitrag geschrieben hat, ist.

.

.

Wordfence ist ein Security-Plugin-Anbieter, oder? Das ist ein Security-Plugin-Anbieter, so wie Sucuri und iTunes und.

.

.

Wolltest du kurz klarstellen, falls der Begriff noch ungleich ist für manche Leute? Genau, Wordfence ist einer meiner Meinung nach der Besseren, also es sind alle gut, also alle sind nicht gleich gut, aber ich würde sagen, Wordfence ist sehr populär und gleichzeitig was auch gut ist, man merkt einfach dadurch, dass sie Blogbeiträge veröffentlichen, dass sie regelmäßig darüber schreiben, dass sie sich auch wirklich mit dem Thema Laufen beschäftigen und dass sie dahinter sind, ja.

Und die haben einfach einen Blogbeitrag, die haben das nachgeforscht, wie das passiert ist, weil es gerade super war, weil es halt eine Wordpress-Webseite betroffen hat, ja.

Und die haben einfach gesehen, okay, es war nämlich so, dieses, was interessant war, diese Sicherheitslücke bei diesem Revolution Slider, die war nicht jetzt aktuell, die gab schon zwei, drei Jahre, also diese Sicherheitslücke war schon länger bekannt.

Ich habe mir diesen Zeitraum angeschaut und es waren so circa zwei, drei Jahre, wo diese Sicherheitslücke schon bekannt war bei Exploit .

TV und auf dieser Webseite, in diesem Portal kann man eben sich bis heute das alles anschauen.

Man kann sich anschauen, wie man dazu, was passiert, wenn man eben diesen Revolution Slider in dieser alten Version auf dieser, mit dieser Wordpress-Installation in dieser Version, die damals halt online war, benutzt.

Und die haben einfach über diesen Revolution Slider es geschafft, mit einer Codezeile eine Webshell auf den Server hochzuladen.

Und in dem Fall war es einfach so, sie haben mit einer Webshell die Möglichkeit, einfach das Dateiverzeichnis auf einem Server über einen Browser zu durchnavigieren oder über das Terminal.

Die Konsole kannst du einfach mit einer Anweisung eine Webshell hochladen und dann kannst du einfach dich durch das Verzeichnis durchnavigieren, wenn du die nötigen Rechte dafür hast.

Also, wenn die Rechte falsch gesetzt wurden zum Beispiel.

Und hier sind wir wieder bei dieser Verkettung von unglücklichen Umständen.

In unserem Fall sind das glückliche Umstände, weil nehmen wir an, das war halt, das war derjenige, der das gehackt war, nehmen wir an, das war ein Ethical Hacker, weil er hat zum Wohle der Gesellschaft diese Panama Papers veröffentlicht oder weiterverkauft an die Staaten und die Staaten haben sich sehr viel Steuergeld durchgeholt.

Aber nur um das klarzustellen, ob Ethical Hacker oder nicht, es ist trotzdem illegal deine Webseite zu hacken.

Ja, es gibt das, in Österreich ist es der Paragraf 118a nach dem Strafgesetzbuch und darauf stehen drei Jahre Freiheitsstrafe.

Wenn du, also es gibt viele Strafen.

Wenn es ohne Erlaubnis passiert ist.

Wenn es ohne Erlaubnis passiert, wenn du in ein Computersystem einbringst, das heißt, das was du von außen siehst, das darfst du schon dir anschauen.

Du kannst scannen und das, was du von außen über Google erreichst, was öffentlich ist, darfst du sehen.

Aber sobald du sozusagen in das System eindringst, was nicht öffentlich ist, dann begehst du eine Straftat, die mit drei Jahren Freiheitsentzug bestraft wird.

Also egal, ob Ethical oder nicht, das ist trotzdem illegal.

Und was ich noch abschließend noch dazu ergänzen will, ist, weil ich vorher gesagt habe, ob mit Erlaubnis oder ohne.

Mit Erlaubnis gehackt ist ja voll dumm.

Aber manche Firmen, die, ich meine, ich kenne das jetzt nur von Filmen und von Fernsehserien, weil das machen, glaube ich, wirklich nur große Unternehmen, die da sicher gehen wollen, dass deren Systeme auch sicher sind, dass die Hacker damit beauftragen, ihre Systeme zu hacken.

Also mit Erlaubnis, um mal die Sicherheit des Systems oder um Lücken im System aufzudecken.

Also das meinte ich vorher mit Erlaubnis.

Das ist, glaube ich, der einzige Fall, wo sowas auch mit Erlaubnis passiert.

Wird gerne gemacht, aber wie du sagst, größere Unternehmen, die es sich einfach leisten können, weil gerade dann, wenn ein Unternehmen sagt, teste uns, wir sind eh gut gesichert, wir geben eh viel für die IT-Sicherheit aus, die können es sich eh leisten.

Und die wissen eh, dass es wahrscheinlich zu 80, 70, 90 Prozent sogar gesichert ist.

Oder zu 99 Prozent sicher.

Aber die wollen dann, weiß nicht, 99,9 Prozent Sicherheit haben.

Und dann schauen sie sich das natürlich an.

Und dann hast du die Erlaubnis.

Aber trotzdem sollte man das schriftlich abklären und eventuell auch eine Rechtsschutzversicherung haben.

Also Spaß beiseite.

Sagen wir, ja natürlich ist es möglich, auch Human Hacking ist möglich.

Das heißt, dass du mit dem Unternehmen dir das ausmachst, dass du irgendwann mal in einem gewissen Zeitraum dein Unternehmen als Mensch eindringst oder versuchst einzudringen und in den Serverraum kommen möchtest oder versuchst, in den Serverraum zu kommen und dort ein USB -Ding irgendwo reinsteckst und das System übernimmst oder ein Vector installierst und so weiter.

Aber zurück zu den Panama Papers.

Jetzt bin ich schon gespannt, wie die Story ausgeht.

Ja genau, die Story.

Also bei den Panama Papers, genau, es war über diesen Revolution Slider konnte man super in das System oder auf den Web-Server diese Shell installieren, was halt schon mal nicht schlecht ist.

Also du hast und der Aufwand, das ist das Ausführen einer Code-Seile.

Das kann sogar meine Mama, die gerade mal einen Browser bedienen kann.

Also das ist wirklich super easy.

Also du brauchst nur die Webseite aufrufen, Copy-Paste von dieser einen Code-Seile und du bist drinnen.

Es ist wirklich extrem einfach, aber wieso ist es einfach? Weil es eine Verkettung von vielen unglücklichen Zufällen gab.

Also der erste ist ja, Rechte wurden falsch gesetzt.

Es wurde der Revolution Slider nicht aktualisiert.

Seit zwei, drei Jahren war diese Sicherheitslinke bekannt, öffentlich bekannt und weder diese Sicherheitslinke wurde, also dieses Plugin wurde aktualisiert, noch die Wordpress-Installation wurde aktualisiert und beides hat super zusammen gepasst, dass man gerade diesen Hack durchführen konnte.

Und was noch dazu kommt, was noch blöder war in der ganzen Geschichte, dass der Mail-Server auf dem gleichen Server lag wie der Web-Server.

Also Mail und Web-Server waren eine Maschine und man konnte einfach dann ganz einfach ohne irgendwelche Schwierigkeiten alle E-Mail-Backupen, also runterladen alle E-Mails, die zwischen der Rechtsanwaltskanzlei und den Kunden stattgefunden haben, mit den Dokumenten konnte man einfach runterladen.

Und es ist jetzt nicht ein Problem gewesen, sondern es war eine Verkettung von vielen Themen.

Und es ist halt, man muss vielleicht aber auch sagen, ich habe auch darüber nachgedacht, wieso das passiert ist.

Also wieso, gerade wenn du jetzt so heikle Dokumente hast und dann hast du wirklich bekannte Personen, die dann Steuern hinterziehen.

Wieso sicherst du deine IT nicht besser ab? Dann habe ich lange darüber nachgedacht und ich bin halt nur zu einem Thema gekommen, zu einer Lösung gekommen, dass jetzt wahrscheinlich, wenn du vermutlich, wenn du jetzt so shady Businesses machst, wenn du so irgendwelche komischen Sachen drehst, komische, krumme Dinger drehst, dass du dann kein gescheites Fachpersonal bekommst oder so.

Ich weiß nicht.

Oder du hast Angst, dass dich irgendwer verpesst.

Musst du denn selber das aufsetzen oder dich damit.

.

.

Keine Ahnung, es ist total komisch, dass da irgendwie.

.

.

Ja, aber es war einfach keine Person dort, die einfach drüber geschaut hat, hey, ist das abgesichert? Oder sonst wäre zum Beispiel ein Plugin, was schon drei Jahre nicht abgedatet wurde, würde dann auffallen.

Es gibt natürlich auch verschiedene Sicherheitsstufen, wie sicher man das machen will, weil theoretisch, wenn du gesagt hast, E-Mail -Server und der Hosting-Server, der Webseiten -Server, wo die Files waren, die waren auf einer Maschine physisch.

Deswegen konnte man dann auch sich die E-Mails downloaden und das Gleiche kannst du auch behaupten bei einem Shared Hosting.

Also, wenn du zum Beispiel keinen dedizierten Server hast oder keine physische Maschine, die dann teurer sind als ein Shared Hosting.

Also, wenn du zwei, drei Euro fürs Hosting zahlst, dann hast du ein Shared Hosting.

Wenn du 30, 50 Euro, ich glaube 50 Euro plus zahlst im Monat, dann kann es schon sein, dass du einen eigenen Server hast, wo nur du drauf bist.

Aber wenn du mit anderen Webseiten den Webspace sharest, dann kann es auch sein, dass irgendein Nachbar von dir eine Sicherheitslücke hat, die drängen ins System ein, der Hosting ist nicht gut abgesichert oder hat die Accounts nicht genau getrennt und deswegen kann der Hacker dann auf den gesamten Server zugreifen.

Also, das war zum Beispiel dann der Fall mit den E-Mails bei den Panama Papers, dass die dann auch die E-Mails downloaden können, wobei in der Regel der E-Mail-Server sich gleich auf dem Server befindet, wo auch die Webseite gehostet wird.

Also, das ist so normal, dass es ist.

In dem Fall, ja, war es überhaupt nicht ideal, dass die ins Feichsystem durchgedrungen sind.

Es waren eben viele Punkte.

Es ist halt selten ein Problem, das ist wie unglückliche Unfälle beim Bergsteigen.

Da gibt es auch nicht einen Fehler oder wahrscheinlich beim Fliegen.

Es gibt halt eine Verkettung von unglücklichen Problemen, Unglücken, die dazu führen, dass eine Katastrophe passiert.

Also, meistens sind es mehr Faktoren als nur der eine.

Es ist aber auch, man muss schon auch sagen, wenn du ein IT-System hast, warten musst oder dich damit beschäftigst, ist es viel schwerer, es abzusichern, weil du musst an so vielen Stellen das absichern.

Ein Hacker braucht nur eine einzige Lücke, um reinzukommen.

Das ist halt schwieriger.

Ein Hacker hat es halt einfacher, sagen wir so, einfacher.

Natürlich kommt es auf das System an und es kommt auch an, wen du hacken möchtest und so weiter.

Aber wenn du ein System absichern möchtest, hast du es halt viel schwerer und es ist viel komplexer.

Und wenn du dann nicht darauf schaust, dass das up-to-date ist und dann nicht das richtige Fachpersonal hast dafür, dann früher oder später wirst du einfach runterleiden.

Bevor wir das Gespräch abschließen, habe ich noch drei Fragen, die wir machen können.

Drei Fragen.

Der erste davon wäre, jetzt sind wir darauf hoffentlich alle sensibilisiert worden, man sollte sich über Security Gedanken machen.

Man muss jetzt nicht paranoid sein oder sowas, aber ganz ignorieren sollte man das Thema eigentlich nicht.

Wie kann man sich in dem Fall schützen, wenn man eine WordPress-Seite hat? Oder gibt es eine Möglichkeit, mein aktuelles Security-Level zu testen bei einer WordPress-Seite? Genau, also ich glaube, was man mitnehmen sollte ist, wie du sagst, nicht paranoid werden, nicht stressen.

Vor allem man sollte überlegen, bin ich überhaupt ein Angriffsziel? Oder zuallererst muss man einfach eines wissen.

Egal, ob man jetzt ein großes Angriffsziel ist oder eine KMU, ein Konzern, EPU, wie auch immer.

Wenn man eine Webseite hat, man muss einfach die Daten und die Datenbank back-upen.

Nicht einmal, sondern regelmäßig.

Und dann noch dazu muss man das Backup testen.

Nicht nur machen, sondern auch testen.

Ich sage mal, wenn jetzt auf der Webseite nicht regelmäßig was passiert, dann ist es, wenn es einmal im Jahr die Webseite aktualisiert wird, dann ist es eine ganz andere Dimension.

Dann braucht man sich auch weniger Stress machen, dann reicht ein Backup alle, weiß nicht, auch einmal im Jahr, wenn ich einmal im Jahr nur was ändere.

Ja, logisch.

Aber das ist die Basis.

Fangen wir mal damit an.

Das ist die Grundlage.

Dann geht es über dazu, dass ich einfach das System aktuell halte.

Also, dass ich so wenige wie möglich, also erstens sehr wenig in Verwendung habe an Technologie.

Das heißt, ich versuche alles zu löschen, was ich nicht brauche.

So wenige Plugins zu verwenden, wie nur möglich.

Also nicht für jede Kleinigkeit irgendein Plugin verwenden.

Natürlich verstehe ich das.

Das ist halt ein Thema.

Wenn man sich mit der Technologie, die dahinter liegt, mit PHP, mit MySQL, mit JavaScript nicht viel auskennt, dann muss man halt leider zu allen möglichen Plugins greifen.

Aber ja, das ist halt mit ein Grund, wieso es dann vielleicht auch unsicher wird mit der Zeit und so weiter.

Aber einfach Plugins, so wenig wie möglich Plugins, Plugins aktualisieren.

Ja, regelmäßig aktualisieren.

Das Theme, WordPress Core und die Plugins aktualisieren.

Und natürlich kann es halt dann passieren, dass die Webseite dann irgendwann zerschossen wird, aber die Wahrscheinlichkeit ist niedriger, wenn man es regelmäßig macht, anstatt wenn man es halt alle paar Jahre macht.

Weil dann ist es natürlich sehr viel Aufwand, dann die WordPress-Installation aktuell zu bekommen.

Zwei-Faktor-Aktualisierung, Authentifizierung ist auch toll.

Also ist auch sehr zu empfehlen.

Zwei-Faktor-Authentification.

Was bedeutet das? Das bedeutet, dass du zum Beispiel eine App verwendest, die einen Code generiert, um dich einzuloggen.

Das heißt, du kannst dich nicht nur mit Benutzern am Passwort einloggen, sondern du wirst auch noch zusätzlich nach einem Code gefragt, der dir entweder per E -Mail oder per SMS geschickt wird.

Oder in der App.

Da ist das immer ein bisschen tricky, weil Zwei-Faktor-Authentification kannst du ja auch als, hey, schick mir den Code per E-Mail.

Aber wenn irgendwer deinen Computer hackt und sich einloggen mag und dann der Computer bekommt dann auch den Code per E-Mail, dann bringt das relativ wenig, weil wenn der Hacker Zugang zu deinem Computer hat, dann öffnet er einfach das E-Mail-Programm und dann ist der Code da.

Also idealerweise wären es halt zwei Geräte.

Also Zwei-Faktor-Authentification ist allgemein gut, aber da gibt es auch verschiedene Stufen.

Aber ich mag das jetzt nicht so sehr in der Zeit.

So viel für die Episode, glaube ich.

Ja, da könnte man eine eigene machen mit Zwei-Faktor -Authentification.

Ich glaube einfach, es sind viele Punkte.

Also ich würde sagen, es ist ein Feature, welches je mehr du von diesen Features hast, desto weniger lohnt es sich einfach für den Hacker anzugreifen, weil es fängt schon mal an, hältst du die Plugins aktuell, gibt es schon mal voll wenig Angriffsfläche.

Und weil die Plugins sind die Haupt-Angriffsfläche für Hacker-Angriffe.

Das heißt, hast du das schon mal minimiert, je mehr du dich darum kümmerst, desto kleiner ist die Chance, dass du ein Problem haben wirst.

Also gutes Hosting mit einem SSL-Zertifikat, mit regelmäßigen Updates beim Hoster, ein bekannter Hetzner, Easy Name, Domain Factory, HostEurope.

Also eher so ein bisschen bekanntere Unternehmen sind schon ganz okay, würde ich sagen.

Wobei bekannt nicht gleich gut bedeutet, wenn die sehr viel Geld in Marketing und Werbung stecken.

Ja, sicher, sicher, sicher.

Aber ich würde halt jetzt nicht so No Name 0815 nehmen.

Aber es kommt immer darauf an, was du schützen willst.

Wenn du wirklich schützenswerte Kundendaten hast, dann musst du dich einfach tiefer mit diesem Thema befassen.

Wo hostest du die Daten? Wegen der DSGVO musst du sowieso mehr darüber nachdenken, wo deine Daten dann auch liegen von den Kunden.

Das heißt, das ist sowieso ein tiefer gehendes Thema.

Was auch noch wichtig ist, dass man, was viele auch übersehen, dass man so 0815, also die Default-Einstellungen von WordPress erweitert.

Dass man zum Beispiel nicht ein Admin-Username hat oder dass der VP-Login nicht öffentlich leicht zugänglich ist oder unter der bekannten URL, wie wir sie alle kennen.

Also es sind schon einige Themen.

Und was auch noch toll ist, also es gibt jetzt, was eins der wichtigsten Sachen ist, wenn man sich jetzt nicht viel Zeit mit WordPress Security, wenn man da nicht viel Zeit investieren kann oder will, dann ist einfach ein Sicherheits-Plugin, welches man installiert, damit ist schon viel getan.

Also da werden auch gewisse Einstellungen schon für einen vorgenommen.

Man kann auch einiges konfigurieren.

Das ist natürlich wieder aufwendig, aber rein defaultmäßig, wenn man zum Beispiel WordPress installiert und da kann man auch kostenlosen Scan machen.

Man kann sich einfach schon einen Überblick verschaffen, wie geht es eigentlich meiner Webseite.

Habe ich überhaupt, vielleicht habe ich ja schon irgendein Vector oder irgendeine, vielleicht wurde sie schon infiziert.

Kann ja schon sein, dass meine Webseite die meisten merken es auch gar nicht.

Und dann kann ich schon mit einem Sicherheits -Plugin, welches ich kostenlos habe, kann ich schon viel erreichen.

In Bezug auf die Sicherheits-Plugins, weil das ist dann auch wiederum so eine Sache, wo vom Gefühl her passieren dann immer so Trade -Offs.

Okay, etwas ist sicherer, dafür ist die Webseite oder das Backend langsamer.

Oder manche Plugins funktionieren nicht.

Zum Beispiel.

Oder es ist dann schlecht wegen des GVO, weil vielleicht ein Security-Plugin den ganzen Traffic mittrackt mit der IP-Adresse und wenn eine IP-Adresse sich versucht zu oft einzuloggen im Backend, dann wird diese gesperrt.

Das ist dann auch wiederum so eine DSGVO-Sache.

Wie kann man da am besten in diesem Gebiet navigieren, damit man das Gefühl hat, hey, ich muss jetzt nichts extra mit der Performance draufzahlen, dass meine Webseite langsam wird und DSGVO-technisch, damit ich da auch abgesichert bin.

Weil es gibt viele spezifische, es gibt viele sehr genaue Security-Videos im Internet, aber es gibt wenig, was dann alle diese anderen Begriffe auch abdeckt.

Also wie kann man sicherstellen, dass wenn man zum Beispiel Security-mäßig besser aufgestellt ist, dafür aber dann nicht die DSGVO irgendwie, wo dann die DSGVO nicht widerspricht? Du kommst nicht drumherum, wenn du wirklich sagst, diese Themen, diese Tiefe ist notwendig, weil das ein Unternehmen ist, welches wichtige Daten hat und gleichzeitig, also die Kundendaten auch gleichzeitig DSGVO-konform behandelt, dann kommst du nicht drumherum, dich tiefer mit dem Thema zu beschäftigen.

Das löst kein YouTube-Video.

Also das ist einfach so, da musst du jemanden, einen Fachmenschen engagieren, der sich einfach damit auseinandersetzt, weil diese 0815-Konfiguration wird es nicht geben und schon gar nicht mit einem kostenlosen Plagin.

Das heißt, du wirst dann in die Richtung gehen müssen, dich mehr damit zu befassen, mehr Geld zu investieren, aber das kannst du nur machen, wenn du auch viel Geld mit der Website machst.

Also wenn das eine Portfolio-Webseite ist, wirst du nicht auf die Idee kommen, jetzt 10 .

000 Euro in sowas zu investieren, damit das alles perfekt, pipi fein, abgeklärt ist.

Wenn das aber jetzt ein Webshop ist, welches einen Umsatz von ein paar Millionen Euro macht, dann wirst du schon auf die Idee kommen, ein bisschen Geld zu investieren, damit du hier das alles sehr gut abgesichert hast und alle Themen sehr gut abgedeckt sind.

Ich sage jetzt nicht, die IT ist halt ein komplexes Thema und es ist halt immer irgendwo was.

Also jetzt mit der DSGVO ist ein neues Thema dazu gekommen in den letzten Jahren und das auch zurecht und damit muss man sich einfach auseinandersetzen und das ist auch gut so, nur es ist komplex.

Auf Anhieb löst es dir kein Plagium, da muss ein Mensch einfach sich dahinter klemmen und einfach ganz genau herausfinden, was deine Bedürfnisse als Unternehmer sind.

Dann hätte ich noch zwei Fragen, die miteinander zusammenhängen.

Das Szenario meiner Webseite wurde gehackt.

Was kann ich machen? Spielen wir mal dieses Szenario durch.

Ich habe jetzt eine ganz normale Webseite, es ist jetzt kein großer E-Commerce Shop oder sowas, aber die wurde gehackt, funktioniert nicht, ich kann es nicht mehr zugreifen, ich würde es gerne reparieren, ich würde es gerne wieder zum Laufen bringen.

Welche Möglichkeiten habe ich, wenn ich jetzt nicht einen super teuren Experten damit beauftragen möchte und wann sollte ich andenken, hey, vielleicht sollte sich damit ein Profi beschäftigen und dann die Folgefrage drauf, die stelle ich dir, wenn wir mit dieser Frage der Antwort fertig sind.

Also es gibt von der Wirtschaftskammer, also in Österreich jetzt, von der Wirtschaftskammer gibt es eine Hotline, die kostenlos ist und die rufst du an und dann bekommst du so eine Ersteinschätzung.

Dann fragt dich jemand, da gibt es einfach, das sind zertifizierte Unternehmen, das sind 100 Unternehmen in Österreich oder 50 Unternehmen und da hat jedes Unternehmen so ab und zu Dienst und die heben ab und dann sagst du ihnen, okay, meine Webseite wurde gehackt oder das und jenes und der checkt das mal und der sagt dir dann, ja, gehe sofort versuchen, also meistens trifft es vielleicht nicht die Webseite, sondern den Computer oder die irgendwas am Computer passiert hier, da kommen die meisten Anrufe, aber die werden sicher auch diese Themen mit, wenn du ansprichst, du hast einen E-Commerce -Shop, das heißt, du bist unternehmerisch tätig, das heißt, du zahlst Steuern, du bist weiter VKO, das heißt, du kannst dieses Service schon in Anspruch nehmen.

Wenn du selber herausfinden möchtest, was los ist, dann, ja, du musst halt schauen, ob du auf den Server kommst, ob die Datenbank noch da ist, beim Poster, mal so einen Überblick dir verschaffen, cool bleiben, Überblick verschaffen, diese IT-Hotline ist auch sicher, diese IT -Security-Hotline ist auch nicht schlecht, wenn man die anruft und dass da ein Anbieter noch drauf schaut, vielleicht ist das Internet offline bei dir oder so und du denkst, die ist offline, weißt du, manchmal gibt es halt auch andere Gründe oder der Hoster ist, weiß nicht, von der Zeit war, du denkst, dass Instagram und Facebook nie offline gehen, aber die waren auch irgendwann mal offline, kann ja sein, dass es temporär mal was ist und dass da eh nichts passiert ist, aber sagen wir, dein Verdacht war richtig und da wurde wirklich, da ist wirklich was passiert, ja, dann musst du halt technisch einen Scan -Check machen, Datenbank da, Dateien da, kannst du das irgendwie, das kommt natürlich auf dich an, wie viel Ahnung hast du davon oder du weißt ja, wer das für dich umgesetzt hat, dann diesen E-Commercial, dann rufst du die Person an und die weiß am ehesten Bescheid, wie sie das überprüfen kann, was passiert ist, ja.

Und du hoffst natürlich, dass du ein Backup hast.

Ja, weil die meisten Hacks, also wenn es kein Backup gibt, also bei mir im Kopf haben sich so zwei Kategorien gebildet, also wenn es ein Backup gibt, ein nicht infiziertes Backup, das ist noch witzig, weil wenn der Hack schon monatelang im System steht und dann in den Backup-Files drinnen ist, dann hast du auch ein Problem, also du brauchst ein sauberes Backup.

Wenn du das hast, dann ist es einfach, hey, Backup einspielen, alles aktualisieren und schauen, dass die Lücke durch die Updates geschlossen wird, was meistens passiert, dass der Hacker oder der Bot durch nicht-upgedatete Plugins oder Theme reingekommen ist.

Zumindest war das in meinen Fällen immer so, dass einfach durch Vernachlässigung der Updates es viel öfter zu Hacks kommt.

Oder der zweite Fall, der ein bisschen komplexere, wo man wirklich auch schon fachliches Know -how braucht, ist, wenn man kein Backup hat oder nur infizierte Backups hat und den Hack bereinigen muss, weil dann musst du teilweise in die Dateien rein, musst den ganzen Mistcode, der der Hacker oder der Bot reingeschleust hat und all diese Sachen, musst du mal herausfinden und säubern und dann vielleicht gibt es da noch irgendwelche Hintertüren, wie du gesagt hast, wie du am Anfang gesagt hast, bei einem Hack, wenn die Seite gehackt wird, wenn man es sauber macht, dann gibt es meistens auch weitere Hintertüren, die schon installiert wurden beim Hack und solche Sachen.

Also idealerweise ist es, wenn du einfach das Backup einspielen kannst und dann fertig, aber andererseits bei allen anderen Fällen wirst du, glaube ich, um eine Fachperson nicht drum herum kommen.

Ja, ja, es wird schon, gerade in dem Fall wird es schon komplexer.

Du musst dir auch, wenn du eine Versicherung hast, musst du auch das beweisen.

Vielleicht hast du Ausfallzeiten und kannst nicht verkaufen in dem Zeitraum und willst dir das über die Versicherung wieder zurückholen, dann musst du das beweisen können.

Und wie willst du es beweisen? Dann brauchst du einen Dritten, einen Fachpersonal, der dir das beweisen kann.

Aber ja, vielleicht hat man Glück und dann hat man ein Backup, welches sauber ist, aber du musst halt auch herausfinden, ob dieses Backup sauber ist, ob da wirklich kein Infekt da ist, dass irgendwo irgendwas versteckt ist, vielleicht ein Vektor.

Weil ich habe mit einem Freund gequatscht, der in der IT-Security lange beschäftigt ist und der meinte so, der beschäftigt sich mit dem Verkauf für Konzerne von IT-Security Systemen und die scannen halt nonstop alles auf diesen Servern.

Aber die Hacker sind auch so schlau und die tun nicht auf einmal alles machen, einschleusen und sofort die Daten kopieren und so weiter, weil das fällt auf, wenn sich schon viele Daten ändern auf einem System, sondern das passiert ganz langsam.

Das passiert über einen längeren Zeitraum.

Das bedeutet einfach, es ist halt sehr kompliziert und was aktuell halt häufig passiert, darüber haben wir schon gesprochen, Verschlüsselung und Lösegeldforderungen.

Die Kryptolocker, die verschlüsseln auch langsam über längere Zeit dein ganzes System, so dass, wie du sagst, die Backups schon infiziert sind.

Das heißt, du kannst laufend Backups haben, aber wenn du die nicht testest und wenn du nicht irgendwie dahinter bist, dann ist es trotzdem so, dass du einfach vor dieser Katastrophe stehst.

Auch wenn du Backups hast.

Wahrscheinlich kommst du nicht drum herum, wenn du ein Business hast, dass du dir jemanden engagierst, der sich drum kümmert.

Selbst wenn du das saubere Backup einspielst, irgendwo war ja die Sicherheitslücke.

Das heißt, du musst dich auch sofort darum kümmern, dass du diese Update einspielst.

Selbst wenn du das Backup, wenn du das alles wieder zurückholst.

Vor langer Zeit habe ich ein größeres Kaufhaus, eine Drupal-Installation gehabt, gemanagt und da wurde auch über ein Plugin der ganze Source -Code infiziert.

Das heißt, du musstest und wir haben auch Backups gehabt, aber gerade nicht zum richtigen Zeitpunkt.

Das heißt, man musste trotzdem alle Dateien durchgehen, alles diesen ganzen Schadsoftware bereinigen und das ist halt immer sehr viel Aufwand.

Es dauert und es ist viel Aufwand.

Das ist alles kostenlos.

Also besser die zwei bis drei Stunden am Anfang zu investieren, um eine Checkliste abzuarbeiten, um mal grob in einem sicheren Bereich zu sein und dann ist die Wahrscheinlichkeit, dass du in der Situation bist, dass du dann die Webseite neu machen musst oder eine Fachperson anstellen musst, die dir das bereinigt, viel geringer, dass du den Bedarf hast.

Die Folgefrage, die ich dir noch stellen wollte, das hängt damit zusammen, was du schon angesprochen hast und zwar die Versicherung.

Ich weiß, du bist in dem Fall kein Rechtsanwalt, du bist ein IT-Spezialist, aber von dem, was mich interessieren würde, ist, deckt das dann die Versicherung ab? Hängt wahrscheinlich davon ab, ob grob fahrlässig gehandelt wurde oder nicht.

Also, wenn ich mir schon Gedanken gemacht habe und Maßnahmen irgendwie schon vorgenommen habe und da irgendwas gemacht habe, um sicher zu stehen, um sicher zu gehen, dass die Webseite abgesichert ist oder deckt das die Versicherung auch ab, wenn ich mir überhaupt keine Gedanken dazu gemacht habe, noch nichts gemacht habe, dann wurde die Webseite plötzlich gehackt und bei mir entstehen Kosten.

Hängt wahrscheinlich von der Versicherung ab.

Hast du, allgemein, damit ich das besser formuliere, hast du Erfahrung mit Versicherungen gemacht in dem Bereich oder ist das ein Thema, welches du noch glücklicherweise vermeiden konntest? Ein bisschen in das Thema bin ich hineingekommen, auch persönlich, aber ich kann jetzt nicht, also aktuell, ich war bei Security-Konferenzen, wo IT-Security-Versicherungen, die boomen jetzt aktuell.

das wird dir einfach, also für die Unternehmen jetzt, nicht für die Dienstleister in dem Fall.

Für die Dienstleister gibt es andere Versicherungen.

Wenn du zum Beispiel jetzt als Entwickler in Entwickler-Webseiten umsetzt und dann kommt es zu einem Schaden.

Im Sinne, also sagen wir so, du entwickelst eine Software oder du installierst eine Software, konfigurierst sie und dann kommt es zum Schaden.

Natürlich muss nachgewiesen werden, also zuerst der Schaden, der ist halt beim Unternehmen entstanden und das Unternehmen kann natürlich dich dann zur Verantwortung ziehen, also rechtlich zur Verantwortung ziehen, weil natürlich kannst du dich dann wehren und sagen, okay, wir haben hier das vereinbart, das wurde nicht abgedeckt oder sie haben hier in der E-Mail geschrieben, sie möchten keine Updates haben oder sie möchten keinen Wartungsvertrag in Anspruch nehmen und so weiter.

Aber natürlich muss du.

.

.

Also es ist von Fall zu Fall unterschiedlich.

Ja, natürlich ist es gefährlich und das Beste ist natürlich, wenn du als Entwickler dich auskennst mit dem Thema, das du zumindest beraten kannst oder sagen kannst, okay und schriftlich das hast, dokumentierst.

Das ist immer am besten.

Du kannst schriftlich dokumentieren, du kannst sagen, du hast das Angebot geschickt, das wurde abgelehnt.

Du kannst es beweisen schriftlich, es wurde abgelehnt, dass der Wartungsvertrag mit den Updates und so weiter nicht gewollt war.

Dann kannst du immer sagen vor Gericht, wenn du dich verteidigst, kannst du immer sagen, okay, ich habe Beweise, dass das Unternehmen daran nicht interessiert war und das Unternehmen wird dich auch dann nicht.

.

.

Dann wahrscheinlich weiß das Unternehmen, dass dann eh das ist, dass er nicht in Anspruch genommen hat und ist nicht so blöd in den meisten Fällen dich dann auch da hineinzuziehen, sagen wir es so.

Aber natürlich, du bist schon dafür auch verantwortlich, das Unternehmen da hinzuweisen und das schriftlich auch irgendwo festzuhalten.

Das ist schon für dich auch gut, ja.

Nur um das klarzustellen, also wir sind beide keine Rechtsanwälte, deswegen ist das jetzt keine rechtliche Beratung.

Falls dann irgendwer das Video irgendwie als, keine Ahnung, irgendwie vor Gericht vorlegen mag, hey, die haben mich beraten oder die haben mir den Rat gegeben.

Nein, bitte nicht.

Wir sind einfach zwei Webdeveloper, die sich aus dem, dass wir eben diese Leistungen anbieten, auch dazu, auch aus moralischer Sicht oder ethischer Sicht verpflichtet sind, die Kunden immer darüber zu informieren, hey, da gibt es diese Risiken, da gibt es diese Risiken.

Also aus dem Kontext ist das jetzt entstanden.

Okay, das war an und für sich alles, was ich dich fragen wollte.

Jetzt kommen wir noch gleich zu den Outro-Fragen, also ein paar, zwei, drei Bullet-Fragen, damit wir das Gespräch abschließen.

Davor würde ich aber gerne den Zuschauern und Zuhörerinnen weitergeben, falls sie Fragen haben oder falls sie dich erreichen wollen oder falls du von deiner Seite gerne irgendwas promoten oder pitchen möchtest.

Also jetzt ist so der Spot, so hey, go for it, schieß alles los.

Wer Bedarf hat an IT-Security, Interesse hat oder einfach sich mehr auskennen möchte, den habe ich ein Buch, an dem ich gerade jetzt fertig schreibe und da hätte ich ein Kapitel als Leseprobe.

Einfach an die E-Mail bartendindividual.

com eine E-Mail schicken und ich schicke einfach die Leseprobe und sonst bei allen möglichen Fragen rund um IT-Security freue ich mich über eine Nachricht, über eine E-Mail.

Falls du das in den Kommentaren schreibst, dann werde ich das natürlich an den Bart weiterleiten, damit er das bekommt beantwortet und dann kommt das in den Kommentaren zurück.

Hast du irgendeine Liste, wo man sich eintragen kann oder einfach auf die Webseite unten verlinken und die Leute kommen so auf die Webseite oder wie können sich die Leute fürs Probekapitel dann anmelden? Einfach eine E-Mail mir schicken, ich schicke den Link dann zurück und das ist das Einfachste.

Passt, gut.

Alle Kontaktdaten, alle Website Links und so weiter werden dann unten in der Beschreibung verlinkt sein.

Jetzt zu den Abschlussfragen, so drei Bullet -Fragen, die ich gerne immer am Abschluss stelle.

Erste Frage, Alternative Materie.

Wenn du dich nicht mit IT beschäftigen würdest, wenn du dich nicht mit WordPress beschäftigen würdest, was würdest du sonst in deinem Leben machen? Schwierig, weil ich mich sehr gerne mit IT und WordPress beschäftige, aber ich bin sehr viel in der Natur unterwegs und ich reise gerne und tue viel Bergsteigen, Klettern, Skitouren gehen und so, aber ob es ein Bergführer wäre, ich glaube nicht, aber ich würde viel wandern.

Was ist das Nervigste, was du an WordPress findest? Ich habe drüber nachgedacht, ob mich irgendetwas nervt an WordPress, ein Feature.

Ich glaube, das Einzige, was mich wirklich nervt ist, wenn man für Kleinigkeiten Plugins verwendet und diese Plugins dann dich die ganze Zeit auffordern irgendwie das Premium-Plugin zu verwenden oder sowas.

Das ist nervig, diese Notifications.

Wenn ich das manchmal bei manchen Webseiten sehe, das ist das Einzige, glaube ich, was mir jetzt in den Sinn kommt, weil sonst finde ich das System super.

Also du loggst dich in WordPress im Backend ein und dann siehst du gleich oben die ganze Seite voll Notifications, die Lizenz ist abgelaufen oder du brauchst eine Premium-Lizenz.

Aber das Blöde ist manchmal, wenn du es weglickst, die kommen einfach wieder.

Kein Entkommen, kein Entkommen.

Deswegen verstehe ich, dass es nervig ist.

Was war dein letzter Aha-Moment in WordPress? Also was war das letzte Mal, wo du gesagt hast, boah, das kann WordPress auch? Ich glaube, wenn ich immer so Umsetzungen sehe, also wenn ich jetzt mich mit einem Kunden beschäftige und dann sehe, was alles mit WordPress möglich ist, da bin ich manchmal so baff.

Also da bin ich so total, ich denke mir so, wow, das kann das auch? Aber es gibt jetzt nichts so ganz Spezielles.

Ich glaube immer so diese Lösungen, die ich dann sehe, die mit WordPress möglich sind, so die umfangreichen Kundenbedürfnisse, die dann einfach abgedeckt werden, das bewundere ich.

Also das ist cool.

Also wenn dann irgendwelche Web-Applikationen im Internet herumschweben und dann so, hm, das wurde mit Wordpress gebaut? genau, da war ich einfach mal überrascht.

Ja, auch was im Hintergrund alles dann mit Wordpress bewerkstelligt wird.

auch im Hintergrund die Web-Applikationen, die in Wordpress eingebaut sind, die du gar nicht siehst im Frontend natürlich, aber was danach passiert mit den Daten auf Basis von Wordpress, das ist mega.

Also das ist super.

Gibt es auch irgendwas, was du den Zuschauern und Zuhörerinnen gerne weitergeben möchtest? Also so eine finale Message oder irgendwas, was du noch gerne loswerden magst und weitergeben möchtest? Einfach immer Wordpress aktualisieren mit den Plugins und Backups haben und sich um die IT -Security kümmern, weil für Unternehmen ist das echt essentiell.

Also das ist meine Message, mein Thema.

Cool.

Vielen, vielen Dank, vielen Dank, dass du da warst.

Es hat mich mega gefreut.

Wir haben sehr spannende Themen gehabt.

Bin schon aufs Feedback gespannt und ja, dann sehen wir uns hoffentlich bald wieder in real life.

Alles klar, danke.

Tschüss.

.